2024年�����,惡意軟件持續(xù)演變���,攻擊者不斷采用新技術(shù)和策略,增強(qiáng)隱蔽性和破壞力��。
Check Point的數(shù)據(jù)顯示����,F(xiàn)akeUpdates���、Qbot和Formbook等惡意軟件在全球范圍內(nèi)廣泛傳播�,感染了大量組織�。ESET的報(bào)告也指出,惡意的Chrome瀏覽器擴(kuò)展和偽裝為AI軟件的安裝程序等新型威脅層出不窮�。面對(duì)這些日益復(fù)雜的威脅,對(duì)惡意軟件的了解和防御措施變得尤為重要��。
以下是2024年十大最危險(xiǎn)的惡意軟件:
一�、BlackLotus:首個(gè)繞過(guò)安全啟動(dòng)的UEFI引導(dǎo)程序
BlackLotus是首個(gè)已知能夠繞過(guò)安全啟動(dòng)(Secure Boot)的惡意軟件�,直接攻擊現(xiàn)代Windows系統(tǒng)的統(tǒng)一可擴(kuò)展固件接口(UEFI)層��。通過(guò)嵌入固件中�����,它能夠避開(kāi)常規(guī)檢測(cè)���,并在系統(tǒng)重啟后仍保持持久性��。這種深層次的系統(tǒng)妥協(xié)使攻擊者能夠長(zhǎng)期訪問(wèn)受害系統(tǒng)��,用于間諜活動(dòng)����、破壞或勒索軟件操作�����。
防御措施:
固件更新:定期更新UEFI固件��,確保修補(bǔ)已知漏洞����。
多因素認(rèn)證:實(shí)施多因素認(rèn)證��,增加未經(jīng)授權(quán)訪問(wèn)的難度�����。
硬件安全模塊:利用可信平臺(tái)模塊(TPM)等硬件安全技術(shù)��,增強(qiáng)系統(tǒng)安全性��。
系統(tǒng)完整性監(jiān)控:部署支持UEFI完整性驗(yàn)證的工具�����。
二���、Emotet:持續(xù)進(jìn)化的釣魚(yú)高手
Emotet最初是一個(gè)銀行木馬����,現(xiàn)已演變?yōu)槎喙δ艿膼阂廛浖脚_(tái),因其高效的“敏捷開(kāi)發(fā)”能力在業(yè)界聞名�����,主要通過(guò)帶有惡意附件的釣魚(yú)郵件傳播�。Emotet還充當(dāng)其他惡意軟件的傳送工具���,包括勒索軟件,能夠通過(guò)劫持電子郵件對(duì)話嵌入到合法的業(yè)務(wù)溝通中���。
防御措施:
電子郵件過(guò)濾:使用高級(jí)反垃圾郵件過(guò)濾器���,攔截含有惡意附件或鏈接的郵件。
網(wǎng)絡(luò)釣魚(yú)培訓(xùn):定期培訓(xùn)員工識(shí)別釣魚(yú)郵件����,提高安全意識(shí)。
禁用宏功能:限制Microsoft Office中宏的使用��,防止惡意代碼執(zhí)行�。
端點(diǎn)檢測(cè)和響應(yīng)(EDR):實(shí)時(shí)檢測(cè)和響應(yīng)潛在威脅。
三��、Beep:靜默入侵者
Beep惡意軟件以其隱蔽性著稱��,采用延遲執(zhí)行等技術(shù)來(lái)避免被沙箱檢測(cè)����。它通過(guò)模塊化組件傳送惡意負(fù)載,使攻擊者能夠根據(jù)目標(biāo)環(huán)境定制攻擊���。Beep主要針對(duì)Windows企業(yè)系統(tǒng)�����,尤其是零售���、物流和制造業(yè)等可能缺乏嚴(yán)格終端監(jiān)控的行業(yè)��。
防御措施:
行為分析:投資于行為分析工具�����,監(jiān)控異常網(wǎng)絡(luò)活動(dòng)�。
終端檢測(cè):加強(qiáng)終端檢測(cè)和響應(yīng)能力�����,部署反規(guī)避機(jī)制����。
網(wǎng)絡(luò)監(jiān)控:持續(xù)監(jiān)控網(wǎng)絡(luò)流量���,識(shí)別潛在的惡意活動(dòng)�����。
模塊化分析:重點(diǎn)監(jiān)控系統(tǒng)中可疑模塊的加載和運(yùn)行情況��。
四����、Dark Pink:亞太地區(qū)的“王牌間諜”
DarkPink,又稱Saaiwc組織����,是一個(gè)高級(jí)持續(xù)性威脅(APT)間諜組織,主要在亞太地區(qū)活動(dòng)���,針對(duì)政府機(jī)構(gòu)�、軍事組織和非政府組織(NGO)�����。主要通過(guò)魚(yú)叉式釣魚(yú)郵件和DLL側(cè)加載等技術(shù)進(jìn)行攻擊�。
防御措施:
魚(yú)叉式釣魚(yú)防御:加強(qiáng)對(duì)魚(yú)叉式釣魚(yú)攻擊的安全意識(shí)培訓(xùn)和技術(shù)防御,實(shí)施嚴(yán)格的電子郵件驗(yàn)證機(jī)制����。
文件活動(dòng)監(jiān)控:監(jiān)控異常的文件活動(dòng)�,及時(shí)發(fā)現(xiàn)潛在威脅�����。
郵件隔離:隔離并檢查外部不明郵件附件和鏈接�����。
情報(bào)共享:監(jiān)控已知APT組織的活動(dòng)��,及時(shí)更新相關(guān)指標(biāo)并與其他組織和機(jī)構(gòu)共享威脅情報(bào)����,提升整體防御能力。
五����、FakeUpdates(又名SocGholish)瀏覽器殺手
用JavaScript編寫的下載器,在啟動(dòng)有效負(fù)載之前將其寫入磁盤����。通過(guò)許多其他惡意軟件導(dǎo)致進(jìn)一步的危害,包括GootLoader�、Dridex、NetSupport���、DoppelPaymer和AZORult����。
防御措施:
瀏覽器更新:確保所有瀏覽器插件和擴(kuò)展保持最新��,修復(fù)漏洞�����。
惡意軟件掃描:定期掃描系統(tǒng)中的潛在威脅�����。
域過(guò)濾:配置DNS過(guò)濾��,屏蔽已知的惡意域�����。
限制安裝:僅允許安裝經(jīng)過(guò)批準(zhǔn)的瀏覽器擴(kuò)展�。
六、Qbot(又名Qakbot)多用途惡意軟件
能夠旨在竊取用戶憑據(jù)��、記錄擊鍵、竊取瀏覽器的cookie�����、監(jiān)視銀行活動(dòng)以及部署其他惡意軟件��。通常通過(guò)垃圾郵件進(jìn)行分發(fā)���,采用多種反虛擬機(jī)�����、反調(diào)試和反沙箱技術(shù)來(lái)阻礙分析和逃避檢測(cè)�。
防御措施:
憑據(jù)管理器:使用密碼管理工具生成并存儲(chǔ)強(qiáng)密碼�����。
賬戶監(jiān)控:持續(xù)監(jiān)控賬戶活動(dòng)�����,檢測(cè)異常登錄�����。
零信任架構(gòu):限制用戶和設(shè)備對(duì)系統(tǒng)資源的訪問(wèn)權(quán)限。
登錄速率限制:對(duì)登錄嘗試次數(shù)進(jìn)行限制�����,防止暴力破解���。
七、Formbook數(shù)據(jù)扒手
針對(duì)Windows操作系統(tǒng)的信息竊取程序���,能夠從各種Web瀏覽器獲取憑據(jù)�����、收集屏幕截圖����、監(jiān)控并記錄擊鍵�����,并可以根據(jù)其C&C的命令下載和執(zhí)行文件�。
防御措施:
數(shù)據(jù)加密:對(duì)敏感數(shù)據(jù)進(jìn)行加密,降低泄露風(fēng)險(xiǎn)�����。
限制腳本執(zhí)行:限制瀏覽器中自動(dòng)執(zhí)行的JavaScript和插件。
用戶行為監(jiān)控:使用UEBA工具識(shí)別異常的用戶行為���。
端到端保護(hù):部署能夠發(fā)現(xiàn)信息竊取行為的端點(diǎn)安全解決方案�。
八��、Nanocore遠(yuǎn)程訪問(wèn)木馬
針對(duì)Windows操作系統(tǒng)用戶的遠(yuǎn)程訪問(wèn)木馬�����,包含基本插件和功能�����,例如屏幕捕獲��、加密貨幣挖掘�、遠(yuǎn)程控制桌面和網(wǎng)絡(luò)攝像頭會(huì)話盜竊。
防御措施:
遠(yuǎn)程桌面安全:關(guān)閉不必要的遠(yuǎn)程桌面協(xié)議(RDP)端口�。
登錄告警:對(duì)遠(yuǎn)程登錄嘗試啟用告警機(jī)制。
最小權(quán)限原則:為所有用戶和服務(wù)配置最少權(quán)限訪問(wèn)�。
設(shè)備隔離:對(duì)受感染的設(shè)備立即隔離并進(jìn)行徹底檢查。
九�����、AsyncRAT遠(yuǎn)程訪問(wèn)木馬
針對(duì)Windows平臺(tái)的木馬,將目標(biāo)系統(tǒng)的系統(tǒng)信息發(fā)送到遠(yuǎn)程服務(wù)器���,從服務(wù)器接收命令來(lái)下載并執(zhí)行插件����、終止進(jìn)程��、卸載/更新自身以及捕獲受感染系統(tǒng)的屏幕截圖�。
防御措施:
網(wǎng)絡(luò)分段:將關(guān)鍵網(wǎng)絡(luò)分隔開(kāi)����,降低橫向移動(dòng)風(fēng)險(xiǎn)。
入侵檢測(cè)系統(tǒng)(IDS):配置IDS以識(shí)別異地登錄或異常流量��。
定期漏洞評(píng)估:掃描網(wǎng)絡(luò)和設(shè)備��,修補(bǔ)易被利用的漏洞����。
限制外部命令和控制:封鎖已知的惡意命令和控制(C2)地址。
十�����、Remcos遠(yuǎn)程訪問(wèn)木馬
可通過(guò)惡意微軟Office文檔進(jìn)行傳播,能夠繞過(guò)Microsoft Windows UAC安全性并以高級(jí)權(quán)限執(zhí)行惡意軟件�����。
防御措施:
文檔驗(yàn)證:對(duì)來(lái)自外部的文檔啟用沙箱運(yùn)行環(huán)境�。
腳本阻斷:禁用文檔中的VBA腳本和宏。
防御繞過(guò)技術(shù):部署安全工具以檢測(cè)和阻止UAC繞過(guò)行為��。
敏感數(shù)據(jù)隔離:將關(guān)鍵數(shù)據(jù)存儲(chǔ)在高度隔離的網(wǎng)絡(luò)環(huán)境中��。
?總結(jié)?
面對(duì)日益復(fù)雜的惡意軟件威脅���,企業(yè)應(yīng)采取情報(bào)驅(qū)動(dòng)的主動(dòng)防御策略����,包括定期更新系統(tǒng)和軟件�����、加強(qiáng)網(wǎng)絡(luò)釣魚(yú)防御��、實(shí)施多因素身份驗(yàn)證并投資行為分析工具,以檢測(cè)和阻止?jié)撛诘墓?���。只有充分理解惡意軟件的行為和演變,安全團(tuán)隊(duì)才能有效預(yù)判并緩解其帶來(lái)的風(fēng)險(xiǎn)�����。
來(lái)源:GoUpSec
在線咨詢
在線咨詢
0371-63319761